Gefahr durch DirectAnimation im Internet Explorer
Ein neuer 0day-Exploit für den Internet Explorer geistert durchs Netz. Angreifer könnten damit beispielsweise über speziell präparierte Web-Seiten Spyware installieren.
Auf einer Sicherheits-Mailingliste ist eine Demo veröffentlicht worden, die eine Sicherheitslücke in einem ActiveX-Control ausnutzt, um über den Internet Explorer Code einzuschleusen und auszuführen. Damit könnten speziell präparierte Web-Seiten beispielsweise Spyware auf dem Rechner eines Besuchers installieren, wie es in der Vergangenheit bereits öfter passiert ist. Microsoft hat den Fehler bestätigt und bereits eine diesbzügliche Sicherheitswarnung herausgegeben: Man untersuche das Problem derzeit, ein Fix werde mit einem bevorstehenden Security Bulletin veröffentlicht. Einen konkreten Zeitrahmen nennt Microsoft dabei jedoch nicht.
Das Problem beruht auf einem Programmierfehler in dem ActiveX Control daxctle.ocx, der zu einem Pufferüberlauf auf dem Heap führen kann. Das Control gehört zu DirectAnimation, was wiederum ein Bestandteil von DirectX ist, und die Darstellung von animierten Multimedia-Inhalten erlaubt. Der veröffentlichte Proof-of-Concept-Exploit funktioniert offenbar unzuverlässig und nur mit chinesischen Windows-Versionen, trägt allerdings den Vermerk "öffentliche Version". Darüber hinaus konnte der Sicherheitsdienstleister Secunia nach eigenen Aussagen verifizieren, dass sich der der Fehler auf einem vollständig gepatchten System mit Windows XP Service Pack 2 gezielt ausnutzen lässt.
Microsoft beschreibt in seiner Notiz eine Reihe von Workarounds, um sich bis zur Bereitstellung eines Patches zu schützen. Sie laufen im wesentlichen darauf hinaus, ActiveX in den Einstellungen des Internet Explorer zu deaktivieren oder zumindest nur nach Nachfrage zu gestatten. Wie Sie die Einstellungen des Internet Explorer sicherer gestallten, zeigt auch der c't Browsercheck auf heise Security. Anwender mit ausreichenden Kenntnissen können auch das DirectAnimation-Control deaktivieren, indem sie dafür das Killbit in der Registry setzen. Da alternative Browser wie Firefox oder Opera kein ActiveX ausführen, sind sie nicht von diesem Problem betroffen.
Siehe dazu auch: (ju)
- Vulnerability in the Microsoft DirectAnimation Path ActiveX Control Could Allow Remote Control Execution von Microsoft
- Microsoft DirectAnimation Path ActiveX control fails to validate input Sicherheitsnotiz des US-CERT
